威胁情报的定义及理解
根据GarTner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
威胁情报分为四种类型:
战略威胁情报(Strategic Threat Intelligence)提供一个全局视角看待威胁环境和业务问题,它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报,主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。
运营威胁情报(Operational Threat Intelligence)与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击,并进行针对性的防御。
战术威胁情报(Tactical Threat Intelligence)关注于攻击者的TTP,其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。
技术威胁情报(Technical Threat Intelligence)主要是失陷标识,可以自动识别和阻断恶意攻击行为。
当前,业内更广泛应用的威胁情报主要还是在技术威胁情报层面。
威胁情报的产生和周期主要包含五个步骤:
威胁情报1. 明确需求和目标
决策者需要明确所需要的威胁情报类型,以及使用威胁情报所期望达到的目标,而在实际中,这一步往往被忽略。
决策者通常可以明确需要保护的资产和业务,评估其遭受破坏和损失时的潜在影响,明确其优先级顺序,最终确认所需要的威胁情报类型。
威胁情报2. 收集
威胁情报收集从来源上包含如下渠道:企业内部网络、终端和部署的安全设备产生的日志数据;订阅的安全厂商、行业组织产生的威胁数据;新闻网站、博客、论坛、社交网络;
一些较为封闭的来源,如暗网,地下论坛
威胁情报3. 分析
分析环节是由人结合相关分析工具和方法提取多种维度数据中涵盖的信息,并形成准确而有意义的知识,并用于后续步骤的过程。
常用的威胁情报分析方法和模型包括Lockheed Martin的Cyber Kill Chain,钻石分析法,MITRE ATT&CK。
威胁情报4. 传播和分享
当产生威胁情报后,需要将威胁情报按照需要进行传播和分享。
对于企业内部安全人员,不同类型和内容的威胁情报会共享给如管理层,安全主管,应急响应人员,IT人员等。
对于企业内部采用的安全架构实现和安全防御设备,威胁情报可以分发并应用到SOC,SIEM,EDR等产品中。
对于乙方的威胁情报服务商通常会采用威胁情报平台(TIP),或者直接以威胁情报数据服务提供,其中通常采用的威胁情报分享格式为STIX和OpenIOC。
威胁情报5. 评估和反馈
评估和反馈环节是用于确认威胁情报是否满足原始需求和是否达到目的,否则就需要重新执行步骤1的阶段进行调整。
从威胁情报的产生来源可以分为内部威胁情报和外部威胁情报。
内部威胁情报为企业或机构产生的应用于内部信息资产和业务流程保护的威胁情报数据,通常为“自产自销”的模式。
外部威胁情报通常由合作伙伴,安全供应商等提供的应用于企业自身的威胁情报数据,而企业作为威胁情报的消费者,而不是生产者。外部威胁情报也可以来自于开源威胁情报(OSINT),人力情报(HUMINT)等。
作用和价值
威胁情报提高应对威胁的效率
威胁情报中的相关性和上下文信息能让企业安全人员明确哪些威胁数据是与企业信息资产和业务安全息息相关的,威胁的背景,以及可以根据威胁的影响程度选择响应处理的优先级。
威胁情报可以帮助企业安全人员明确其企业的在线信息资产和安全状况,根据企业自身资产的重要程度和影响面,进行相关的漏洞修补和风险管理。
威胁情报可以帮助企业安全人员了解其所在行业的威胁环境,有哪些攻击者,攻击者使用的战术技术等。威胁情报帮助其了解企业自身正在遭受或未来面临的威胁,并为高层决策提供建议。
1) 与企业已有的安全架构、产品、流程相整合,如SIEM、SOC、EDR等。
2) 应用到企业内部的事件应急响应中,如APT攻击,勒索等。
3) 应用到企业的业务安全中,如账号风控,防欺诈,信息泄露等。
威胁情报的定义及理解相关推荐
- 深度学习——从网络威胁情报中收集TTPs
从网络威胁情报中收集TTPs 摘要 为啥要用网络威胁情报 被动防御 & 主动防御 网络威胁情报的概念 何为情报(Intelligence)? 何为网络威胁(Cyber Threat)? 何为网 ...
- 网安学习——什么是威胁情报?
文章目录 1. 什么是威胁情报 2. 威胁情报的基本特征 3. 威胁情报的用途 4. 威胁情报的数据采集 5. 威胁情报的分析方法 6. 威胁情报的服务平台 7. 威胁情报的开源项目 1. 什么是威胁 ...
- 云上安全保护伞--SLS威胁情报集成实战
简介: 威胁情报是某种基于证据的知识,包括上下文.机制.标示.含义和能够执行的建议. 什么是威胁情报 根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文.机制.标示.含义和能 ...
- 亮剑“威胁情报”,锐捷、腾讯联手打造“狙击手”
张艺谋执导的第一部现代战争影片<狙击手>展现了抗美援朝后期"冷枪冷炮"运动中,我军神枪手群体的英勇事迹.影片中,狙击五班的战士们不惜战斗到只剩下一个人,也要将身负重大情 ...
- 被安全数据淹没?如何令威胁情报为你服务
本文讲的是被安全数据淹没?如何令威胁情报为你服务,公司该怎样运作风险和安全项目?更具体点,大数据时代,公司该怎样运作其威胁情报处理? 很多公司貌似认为自己知道打开他们企业王国大门的钥匙是什么,以及入口 ...
- 【2016阿里安全峰会】风声与暗算,无中又生有:威胁情报应用的那些事儿【附PDF下载】...
一年一度的阿里安全峰会创立于 2014 年,每年在7月举办,今年已是第三届,今年于7月13-14日在北京国家会议中心举办.阿里安全峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织.信息安全专业 ...
- 【论文翻译】HinCTI: 基于异构信息网络的网络威胁情报建模与识别系统
HinCTI: 基于异构信息网络的网络威胁情报建模与识别系统 摘要 网络攻击日益复杂化.持久化.组织化和武器化.面对这种情况,全世界越来越多的组织正显示出越来越愿意利用网络威胁情报公开交换(CTI)来 ...
- 观点:我们为什么需要威胁情报?
最近被谈论的异常火热的一个术语就是威胁情报,那么威胁情报到底是什么意思,它是一种什么概念或者机制呢?本文中我们就来亲密接触一下威胁情报,并了解它所具有的功能,然后给出几个威胁情报的最佳实践示例,最后分 ...
- 60+ 安全厂商的选择,为何 TA 一直坚持做威胁情报供应商?
威胁情报能给企业安全管理人员提供全面.准确.可执行和决策的信息,帮助企业提高应对安全威胁的效率,提升脆弱性管理和风险控制能力,了解其所处的威胁环境并用于决策.可以与企业已有的网络安全架构.产品.流程相 ...
最新文章
- ionic 项目中添加modal的步骤流程
- 《Windows 系列》- 修改hsot
- linux django web,Flask Django web实战
- 转:C++ string的万能转换
- 1032 挖掘技术哪家强
- Java访问剪切板API控制台输出莫名异常
- 视频教程-HTML5基础知识实战演练教程-HTML5/CSS
- latex排版:合并表格的多行多列
- win10连不上网,搜索不到WiFi,本地连接也断开
- MySQL事务中幻读实践
- STM32+光敏模块
- Linux——boot lodaer:grub2核心载入工具
- 硬件混合渲染器 (HWC)
- 超全网址分享:常用的 70 个数据分析网址
- 1.centos7 安装murmur
- 机器视觉必知工业相机50问
- 大数据管理平台(一)概述
- Android studio 报错Multiple annotations of type `dalvik.annotation.EnclosingClass`
- 营业执照办理后多久办税务登记证
- 基于RWEQ模型的土壤风蚀模数估算及其变化归因分析实践